인텔, 해킹 취약 `쉬쉬`…도덕성 논란

미국 실리콘밸리의 상징적 기업이자 반도체회사인 인텔이 지난 10년간 판매해온 핵심 프로세서(CPU) 칩이 '근본적 설계 결함'이 있어 보안에 취약한 것으로 드러났다. 컴퓨터 프로세서는 컴퓨터에서 두뇌 역할을 하는 핵심 부품이다. 하지만 인텔은 이 사실을 알고도 제때 알리지 않은 것으로 나타났다. 최근 애플이 구형 아이폰 성능을 일부러 저하시키며 소송 사태를 빚고 있는 '배터리 게이트'와 맞물려 실리콘밸리 정보통신(IT) 기업 신뢰성이 크게 흔들리는 모습이다.

2일(현지시간) 영국 기술 전문매체(더레지스터)는 인텔이 지난 10년간 전 세계에 공급한 프로세서 칩의 설계에서 근본적인 결함이 발견됐다고 보도했다.

인텔 칩의 결함은 지난해 6월 구글 엔지니어와 업계 보안전문가들에 의해 발견됐다. 이들은 인텔 칩이 암호나 사용 기록 등을 저장해 놓은 메모리 부분이 외부에서 접근할 수 없도록 차단돼 있어야 함에도 불구하고 외부에서 접근해 정보를 빼갈 수 있게 설계된 것을 확인했다. 이 결함을 발견한 구글은 지난 3일 "이 같은 결함이 있는 칩을 사용하면 해커들이 당신의 PC에 접근해 패스워드나 민감한 데이터를 수집할 수 있다"고 밝혔다. 인텔도 이날 공식 홈페이지에서 "다양한 판매자의 프로세서와 운영체제(OS)가 탑재된 여러 유형의 컴퓨터가 이런 공격에 취약하다"고 밝혔다.

인텔은 구글로부터 제품의 취약성을 확인하고 문제 해결 방안을 연구했으며 이달 말 이를 공개할 계획이었다고 해명했다. 그러나 글로벌 IT업계는 인텔의 해명에 석연찮다는 반응이다. 인텔은 이 같은 사실을 알고도 지난 6개월간 소비자들에게 알리지 않았다. 또한 지난 11월에는 브라이언 크러재니치 인텔 최고경영자(CEO)가 보유 주식의 절반(약 117억원 규모)을 매각하기도 했다. 정황상 대표가 악재를 인지하고 주식을 매도한 것으로 볼 여지가 충분하다. 이번 사태가 애플의 '배터리 게이트'에 이어 '인텔 게이트'로 확산될 것이란 관측이 나오는 이유다.

외부 해킹에 취약한 것으로 알려진 부분은 칩 내에서 사용자 정보와 암호 등을 저장하는 '커널'이라는 메모리다. 커널은 운영체제(OS) 사용에 관한 가장 핵심이 되는 정보를 저장하는 공간이기 때문에 원칙상 외부에서 접근하지 못하도록 설계돼야 한다. 그러나 인텔 칩은 커널에 외부 프로그램이 접근할 수 있도록 설계돼 있어 해커들이 정보를 빼가거나 악성코드를 심을 수도 있다. 커널이 뚫렸다는 것은 컴퓨터 보안체계에 '붕괴'를 가져올 수 있다는 뜻에서 보안 전문가들은 인텔의 보안 취약점을 '멜트다운'으로 명명했다.

이 같은 결함은 윈도, 리눅스, 맥 등 OS를 가리지 않고 발생하는 것으로 알려졌다. 지난 10년간 제조한 대부분 PC에서 이런 결함이 발생할 가능성이 있다. 인텔의 컴퓨터 CPU는 글로벌 시장의 70~80%를 차지하고, 국내에 유통되는 노트북PC 중 90% 이상이 인텔 프로세서를 사용하고 있어 파장이 만만치 않을 전망이다. 인텔 칩을 사용하는 컴퓨터에서 당장 보안성을 높이는 방식은 OS를 최신으로 업데이트하는 것이다. 마이크로소프트는 4일 오전 7시(한국시간) 윈도10에 대한 자동 업데이트 방식으로 보안 패치를 배포했다. 패치는 컴퓨터 기능 개선이나 오류 수정을 위한 업데이트 프로그램을 뜻한다. 윈도7·윈도8에 대해서는 오는 9일 보안 패치를 정식 발표한다. 윈도 이용자들은 이 업데이트를 실행하면 된다. 리눅스, 안드로이드 등 다른 OS도 보안 패치가 발표됐다.

소프트웨어 패치를 적용한 뒤 PC 속도가 5~30% 떨어질 수 있는 것으로 알려졌다. 그 피해는 일반 PC보다 데이터센터 등 기업용 컴퓨터에 더 치명적일 것으로 보인다. '멜트다운' 보안 패치는 메모리에 뭔가를 기록하고 읽어 들이는 과정에 보안 기능을 더한 것이다. 이 때문에 대량의 데이터를 보관하거나 전송하는 작업을 하는 기업용 컴퓨터 혹은 데이터센터가 더 영향을 받게 된다.

데이터센터를 운영하거나 클라우드 서비스를 제공하는 플랫폼 사업자들은 보안 패치를 적용한 후 성능 저하를 막기 위해 '멜트다운'을 해결할 패치를 개발했다. 정보기술(IT)업계에 따르면 아마존웹서비스(AWS), 마이크로소프트, 구글 등은 자사 클라우드 서비스에 대해 보안 업데이트를 완료했다. 이들 클라우드 서비스를 이용하는 기업은 운영체제를 최신 버전으로 업데이트하고 서비스를 재부팅하면 이 문제를 해결할 수 있다.

최필식 IT 평론가는 "이용자들은 운영체제에 맞는 최신 업데이트를 해야 한다. 동시에 칩 제조사들도 설계 구조를 근본적으로 고쳐야 할 것"이라고 지적했다.

[실리콘밸리 = 손재권 특파원 / 서울 = 이선희 기자]

[ⓒ 매일경제 & mk.co.kr, 무단전재 및 재배포 금지]